Le gendarme américain des marchés boursiers victime de pirates

Le gendarme des marchés boursiers américains, la SEC, enquête : des pirates pourraient s’être infiltrés au sein de son système de gestion des déclarations réglementaires des entreprises cotées – Edgar – pour commettre des délits d’initié. Dans une déclaration officielle, la SEC explique avoir appris au mois d’août « qu’un incident détecté en 2016 » pourrait être à l’origine de « gains illicites » sur les marchés.

C’est une vulnérabilité logicielle au sein de l’un des composants du système Edgar qui a pu être exploitée pour accéder à des informations encore inaccessibles au public mais déjà fournies à la SEC. Cette vulnérabilité « a été corrigée promptement après sa découverte ».

En avril 2016, l’organe parlementaire d’audit des comptes publics du budget fédéral américain, le Government Accountability Office (GAO), avait souligné des faiblesses dans la protection de l’information au sein des systèmes de la SEC. Le GAO déplorait ainsi que la SEC ait défini des politiques et des contrôles d’accès, sans pour autant « protéger de manière cohérente l’accès à ses systèmes ». En particulier, selon le GAO, le gendarme des marchés boursiers américain n’avait pas, à l’époque, « protégé son réseau d’intrusions possibles avec consistance ». Et cela valait aussi pour l’authentification des utilisateurs, l’autorisation des accès aux ressources, ou encore la supervision et l’audit des actions réalisées sur les systèmes et le réseau, voire pour la gestion des configurations.

Le système Edgar lui-même n’était pas épargné par les critiques. Cela commençait par la gestion de l’authentification – des facteurs multiples étaient largement requis, mais pas pour les accès à distances, par exemple. Pour le GAO, plusieurs manques dans le contrôle d’accès et la gestion des droits pour Edgar faisaient émerger un risque d’accès non autorisé « à des données financières ou d’autres données sensibles ».

 Depuis, la SEC a fait d’importants progrès, implémentant 47 des 58 recommandations formulées en 2016 par le GAO. Mais peut-être trop tard ou pas assez. De fait, dans son rapport publié cet année, le GAO déplore que la SEC n’ait pas encore « pleinement chiffré les informations stockées sur les serveurs supportant un système financier clé ».

De son côté, la SEC assure employer aujourd’hui à grande échelle un « programme de détection, protection et prévention de cybersécurité ». Ce « progamme » est décrit comme recouvrant « contrôles et protocoles de cybersécurité, protections réseau, supervision de systèmes et processus de détection, processus de gestion du risque fournisseurs, ainsi que formation régulière des employés à la cybersécurité et à la confidentialité ».

Au printemps 2016, Mary Jo White, alors présidente de la SEC, estimait que le risque informatique était celui représentant la plus importante menace pour le système financier mondial. A nos confrères de Reuters, elle indiquait alors : « en général, il y a beaucoup de préparation, une véritable conscience [du risque], mais également des politiques et des procédures qui ne sont pas adaptées aux risques spécifiques » aux institutions financières. Presque prémonitoire, s’il n’y avait eu le précédent de Swift, notamment.